Identitäts- und Zugriffsverwaltung für SAP

Dieser Artikel baut auf mehrere Überlegungen und Empfehlungen auf, die im Artikel Entwurfsbereich der Azure-Zielzone für Identitäts- und Zugriffsverwaltung definiert sind. In diesem Artikel werden die Empfehlungen für Identitäts- und Zugriffsverwaltung für die Bereitstellung einer SAP-Plattform in Microsoft Azure beschrieben. SAP ist eine unternehmenskritische Plattform. Daher sollten Sie die Gestaltungshinweise für die Azure-Landing-Zone in Ihr Design einbeziehen.

Wichtig

SAP SE hat Sunset am Produkt SAP Identity Management (IDM) vorgenommen und empfiehlt allen Kund*innen, zu Microsoft Entra ID Governance zu migrieren.

Entwurfsüberlegungen

• Überprüfen Sie die erforderlichen Azure-Administrations- und Verwaltungsaktivitäten für Ihr Team. Sehen Sie sich Ihre „SAP in Azure“-Landschaft an. Ermitteln Sie die bestmögliche Verteilung der Zuständigkeiten innerhalb Ihrer Organisation.

• Ermitteln Sie die Grenzen der Azure-Ressourcenverwaltung im Vergleich zu den SAP Basis-Verwaltungsgrenzen zwischen der Infrastruktur und den SAP Basis-Teams. Erwägen Sie, dem SAP Basis-Team erweiterten Azure-Ressourcenverwaltungszugriff in einer SAP Nicht-Produktionsumgebung zu gewähren. Erteilen Sie beispielsweise die Rolle Mitwirkender von virtuellen Computern. Darüber hinaus können Sie auch teilweise erhöhte Zugriffsrechte für die Verwaltung in einer Produktionsumgebung gewähren, z. B. einen Teil der Berechtigungen der Rolle „Mitwirkender von virtuellen Computern“. Beide Optionen erzielen ein gutes Gleichgewicht zwischen der Trennung von Aufgaben und der betrieblichen Effizienz.

• Für zentrale IT- und SAP-Basisteams sollten Sie die Verwendung von Privileged Identity Management (PIM) und der mehrstufigen Authentifizierung für den Zugriff auf SAP Virtual Machine-Ressourcen über das Azure-Portal und die zugrunde liegende Infrastruktur in Betracht ziehen.

Hier sind allgemeine Verwaltungs- und Managementaktivitäten von SAP auf Azure:

Azure-Ressource	Azure-Ressourcenanbieter	Aktivitäten
Virtuelle Computer	Microsoft.Compute/virtualMachines	Starten, Beenden, Neustarten, Aufheben der Zuordnung, Bereitstellen, Erneutes Bereitstellen, Durchführen von Änderungen, Ändern der Größe, Erweiterungen, Verfügbarkeitsgruppen, Näherungsplatzierungsgruppen
Virtuelle Computer	Microsoft.Compute/disks	Lesen und Schreiben auf datenträger
Lagerung	Microsoft.Storage	Lesen, Durchführen von Änderungen in Speicherkonten (z. B. Startdiagnose)
Lagerung	Microsoft.NetApp	Lesen, Durchführen von Änderungen in NetApp-Kapazitätspools und -Volumes
Lagerung	Microsoft.NetApp	ANF-Momentaufnahmen
Lagerung	Microsoft.NetApp	Regionsübergreifende Replikation von ANF
Vernetzung	Microsoft.Network/networkInterfaces	Lesen, Erstellen und Ändern von Netzwerkschnittstellen
Vernetzung	Microsoft.Network/loadBalancers	Lesen, Erstellen und Ändern von Lastenausgleichen
Vernetzung	Microsoft.Network/networkSecurityGroups	Lesezugriff auf NSG
Vernetzung	Microsoft.Network/azureFirewalls	Lesezugriff auf Firewall

• Schützen Sie die NFS-Kommunikation (Network File System) zwischen Azure NetApp Files und Azure Virtual Machines per NFS-Clientverschlüsselung mit Kerberos. Azure NetApp Files unterstützt Active Directory Domain Services (AD DS) und Microsoft Entra Domain Services für Microsoft Entra-Verbindungen. Informieren Sie sich über die Leistungsauswirkungen von Kerberos auf NFS v4.1.

• Schützen Sie Verbindungen vom Typ „Remotefunktionsaufruf“ (Remote Function Call, RFC) zwischen SAP-Systemen per Secure Network Communications (SNC), indem Sie geeignete Schutzebenen verwenden, z. B. Qualität des Schutzes (Quality of Protection, QoP). SNC-Schutz ist mit höherem Leistungsaufwand verbunden. Um die RFC-Kommunikation zwischen Anwendungsservern desselben SAP-Systems zu schützen, empfiehlt SAP die Verwendung der Netzwerksicherheit anstelle von SNC. Die folgenden Azure-Dienste unterstützen SNC-geschützte RFC-Verbindungen mit einem SAP-Zielsystem: Anbieter von Azure Monitor für SAP-Lösungen, die selbstgehostete Integration Runtime in Azure Data Factory und das lokale Datengateway bei Power BI, Power Apps, Power Automate, Azure Analysis Services und Azure Logic Apps. SNC muss Single Sign-On (SSO) in diesen Fällen konfigurieren.

SAP-Benutzer-Governance und -Provisionierung

• Erwägen Sie, dass eine Migration zu Azure möglicherweise eine Möglichkeit ist, Identitäts- und Zugriffsverwaltungsprozesse zu überprüfen und neu auszurichten. Überprüfen Sie die Prozesse in Ihrer SAP-Landschaft und die Prozesse auf Unternehmensebene:

  • Überprüfen Sie die Richtlinien für die Sperrung inaktiver Nutzer in SAP.
  • Überprüfen Sie die SAP-Benutzerkennwortrichtlinie, und richten Sie sie an die Microsoft Entra-ID aus.
  • Überprüfen Sie die Verfahren für Kündigungen, Stellenwechsel und Neueinstellungen (Leavers, Movers and Starters, LMS), und passen Sie diese an Microsoft Entra ID an. Wenn Sie SAP Human Capital Management (HCM) verwenden, steuert SAP HCM wahrscheinlich den LMS-Prozess.

• Erwägen Sie die Verwendung von SAP-Prinzipalverteilung, um eine Microsoft-Identität an Ihre SAP-Landschaft weiterzuleiten.

• Erwägen Sie den Microsoft Entra-Bereitstellungsdienst zum automatischen Bereitstellen und Aufheben der Bereitstellung von Benutzer*innen und Gruppen für SAP Analytics Cloud, SAP Identity Authentication und weiterer SAP-Dienste.

• Erwägen Sie die Bereitstellung von Benutzer*innen aus SuccessFactors in Microsoft Entra ID mit optionalem Rückschreiben der E-Mail-Adresse in SuccessFactors.

Designempfehlungen

• Migrieren Sie Ihre SAP Identity Management (IDM)-Lösung zu Microsoft Entra ID Governance.

• Implementieren Sie SSO mithilfe von Windows AD, Microsoft Entra ID oder AD FS, je nach Zugriffstyp, damit endbenutzer ohne Benutzer-ID und Kennwort eine Verbindung mit SAP-Anwendungen herstellen können, nachdem der zentrale Identitätsanbieter sie erfolgreich authentifiziert hat.

  • Implementieren Sie das einmalige Anmelden für SAP-SaaS-Anwendungen, z. B. SAP Analytics Cloud, SAP Technology Platform (BTP), Business by Design, SAP Qualtrics und SAP C4C mit Microsoft Entra ID per SAML.
  • Implementieren Sie Webanwendungen, die auf SSO für SAP NetWeaver basieren, z. B. SAP Fiori und SAP Web GUI per SAML.
  • Sie können SSO in SAP GUI implementieren, indem Sie SAP NetWeaver SSO oder eine Partnerlösung verwenden.
  • Implementieren Sie für SSO für SAP-GUI- und Webbrowserzugriff SNC – Kerberos/SPNEGO (einfacher und geschützter GSSAPI-Aushandlungsmechanismus) aufgrund ihrer einfachen Konfiguration und Wartung. Berücksichtigen Sie für SSO mit X.509-Clientzertifikaten den SAP Secure Login Server, der bestandteil der SAP SSO-Lösung ist.
  • Implementieren Sie SSO mithilfe von OAuth für SAP NetWeaver, damit Drittanbieter oder benutzerdefinierte Anwendungen auf SAP NetWeaver OData-Dienste zugreifen können.
  • Implementieren von SSO in SAP HANA

• Implementieren Sie Microsoft Entra ID als Identitätsanbieter für SAP-Systeme, die auf RISE gehostet werden. Weitere Informationen finden Sie unter Integrieren des Diensts in Microsoft Entra ID.

• Verwenden Sie für Anwendungen, die auf SAP zugreifen, Prinzipalverteilung, um SSO einzurichten.

• Wenn Sie SAP BTP-Dienste oder SaaS-Lösungen verwenden, die SAP Cloud Identity Service, Identity Authentication (IAS) erfordern, implementieren Sie SSO zwischen SAP Cloud Identity Authentication Services und Microsoft Entra ID für den Zugriff auf diese SAP-Dienste. Diese Integration ermöglicht es, dass SAP IAS als Proxy-Identitätsanbieter fungiert und Authentifizierungsanforderungen an Microsoft Entra ID weiterleitet, welches als zentraler Benutzerspeicher und Identitätsanbieter dient.

• Wenn Sie SAP SuccessFactors verwenden, verwenden Sie die automatisierte Benutzerbereitstellung von Microsoft Entra ID. Mit dieser Integration können Sie, wenn Sie neue Mitarbeiter zu SAP SuccessFactors hinzufügen, ihre Benutzerkonten automatisch in Microsoft Entra ID erstellen. Optional können Sie Benutzerkonten in Microsoft 365 oder anderen SaaS-Anwendungen erstellen, die von Microsoft Entra ID unterstützt werden. Verwenden Sie das Rückschreiben der E-Mail-Adresse in SAP SuccessFactors.